Russian Users MikroTik | Форум пользователей MikroTik

Добрый день
Есть vps с 7.10.1
На нем есть ether1 с белым адресом
Есть две vrf main и support
Приходят куча впн и они помечены в разные интерфейс листы по vrf
Настроен также нат для выхода в сеть с этого белого адреса
Сидящие в vrf main нормально между собой маршрутизируются и ходят без проблем наружу
Вот проблема в том что те кто в vrf support только между собой маршрутизируются а наружу не ходят.
Маршруты для обоих vrf есть
/ip route add comment=main disabled=no distance=1 dst-address=0.0.0.0/0 gateway=адрес pref-src="" routing-table=main scope=30 suppress-hw-offload=no target-scope=10
/ip route add comment=support disabled=no distance=1 dst-address=0.0.0.0/0 gateway=адрес pref-src="" routing-table=support scope=30 suppress-hw-offload=no target-scope=10
Пинги ходят с обоих vrf
[root@vps] > ping 8.8.8.8
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 56 107 118ms452us
1 8.8.8.8 56 107 115ms404us
sent=2 received=2 packet-loss=0% min-rtt=115ms404us avg-rtt=116ms928us
max-rtt=118ms452us

[root@vps] > ping 8.8.8.8 vrf=support
SEQ HOST SIZE TTL TIME STATUS
0 8.8.8.8 56 107 115ms519us
1 8.8.8.8 56 107 115ms493us
2 8.8.8.8 56 107 115ms397us
sent=3 received=3 packet-loss=0% min-rtt=115ms397us avg-rtt=115ms469us
max-rtt=115ms519us

/ip firewall nat add action=masquerade chain=srcnat comment=main !connection-bytes !connection-limit !connection-mark !connection-rate !connection-type !content disabled=no !dscp !dst-address !dst-address-list !dst-address-type !dst-limit !dst-port !fragment !hotspot !icmp-options !in-bridge-port !in-bridge-port-list !in-interface !in-interface-list !ingress-priority !ipsec-policy !ipv4-options !layer7-protocol !limit log=no log-prefix="" !nth !out-bridge-port !out-bridge-port-list !out-interface out-interface-list=wan !packet-mark !packet-size !per-connection-classifier !port !priority !protocol !psd !random !routing-mark !src-address !src-address-list !src-address-type !src-mac-address !src-port !tcp-mss !time !tls-host !to-addresses !to-ports !ttl
Нат на все сделан , out-interface-list=wan
В этой группе wan /interface list member add disabled=no interface=ether1 list=wan сидит этот единственный от vps интерфейс

Чувствую где-то на поверхности проблема

Там где дефолтный маршрут во второй vrf - там в качестве шлюза адрес, который доступен через main?
Тогда там к адресу, как я понимаю, нужно @main добавить.

Добрый вечер!
Добавил
Сохранил
Тоже самое - причем оно дает дописать @main, сохраняет и после сохранения убирает

На самом деле он не убирает - в текстовом экспорте оно остается.
Но вот насколько оно работает - не понятно.
Хотя логика должна быть именно такая - если мы ище шлюз не в своей vrf, это надо указать явно, иначе ему взяться неоткуда.
Ещё scope на маршруте до гейтвея и target scope на дефолтном надо проверить.
Тут тоже все работает не так, как в 6ке, и абсолютно не интуитивно.
На дефолтном надо target-scope=30 ставить, если маршрут рекурсивный.
А вот занизить scope на рекурсивном уже не прокатывает.

В общем, как это ни прискорбно, но до сих пор роутинг в семерке работает местами очень странно.
А некоторыми местами и откровенно неправильно.

Пока решил так
Поднял на этом впн между маршрутизаторами OSPF в отдельной зоне с авторизацией
на VPS включил редистрибьюцию статика , там соответсвенно пока руками пишу маршруты на нужно
/ip route add comment=143.166.147.101 disabled=no distance=1 dst-address=143.166.147.101/32 gateway=адрес pref-src="" routing-table=support scope=30 suppress-hw-offload=no target-scope=10
тут кстати @main так и не появился
потом пришлось мангл юзать
/ip firewall mangle add action=mark-connection chain=prerouting comment=10.61.10.18 !connection-bytes !connection-limit !connection-mark !connection-nat-state !connection-rate connection-state=new !connection-type !content disabled=no !dscp !dst-address !dst-address-list !dst-address-type !dst-limit !dst-port !fragment !hotspot !icmp-options !in-bridge-port !in-bridge-port-list !in-interface !in-interface-list !ingress-priority !ipsec-policy !ipv4-options !layer7-protocol !limit log=no log-prefix="" new-connection-mark=supportcon !nth !out-bridge-port !out-bridge-port-list !out-interface !out-interface-list !packet-mark !packet-size passthrough=no !per-connection-classifier !port !priority !protocol !psd !random !routing-mark !src-address src-address-list=support !src-address-type !src-mac-address !src-port !tcp-flags !tcp-mss !time !tls-host !ttl
/ip firewall mangle add action=mark-routing chain=prerouting comment=10.61.10.18 !connection-bytes !connection-limit connection-mark=supportcon !connection-nat-state !connection-rate !connection-state !connection-type !content disabled=no !dscp !dst-address !dst-address-list !dst-address-type !dst-limit !dst-port !fragment !hotspot !icmp-options !in-bridge-port !in-bridge-port-list !in-interface in-interface-list=wan !ingress-priority !ipsec-policy !ipv4-options !layer7-protocol !limit log=no log-prefix="" new-routing-mark=support !nth !out-bridge-port !out-bridge-port-list !out-interface !out-interface-list !packet-mark !packet-size passthrough=yes !per-connection-classifier !port !priority !protocol !psd !random !routing-mark !src-address !src-address-list !src-address-type !src-mac-address !src-port !tcp-flags !tcp-mss !time !tls-host !ttl

мне все нули туда заворачивать не надо
только конкретные ресурсы по адресам или сетями целиком

Теперь нарисовалась следующая проблема.
Те туннели что висят на основном vrf работают без проблем.
А те что в дополнительном имеют какие то явные проблемы с мту.Пинги ходят ,https нет. Изменение мту на wireguard решает проблему на некоторое время. И потом опять только ринги.

Может совпадение: над блокировками wireguard последние пару недель провадйеры эксперементируют.